여러분은 VPN을 어떻게 활용하고 있는가? 실제 중소 규모의 기업을 돌면 VPN의 활용 정도가
낮다는 것을 실감하게 된다. 고가의 네트워크 장비를 고집할 수 없는 상황이라면 VPN의
기능성에 눈길을 돌려보는 건 어떨까?
IP공유기보다 더 똑똑하고 기능이 많은 VPN
VPN은 가상 사설 네트워크라고 해석할 수 있다. 인터넷 등 공중망의 네트워크를 전용망처럼
구성하게 한다. VPN 프로토콜에 따라서 2계층과 3계층으로 나뉘며 현재는 3계층의 IPSec
프로토콜을 가장 많이 사용한다. VPN 사용시 장점은 회선비용이 절감되고 인터넷이 되는
곳이라면 설치가 가능하므로 본사와 지사, 사무실, 이동 근무자, 재택근무자 등까지
광범위하게 확장이 가능하다.
 |
| <표 1> 계층별 VPN 프로토콜 특징 |
“공중망인 인터넷 회선을 연결해 통신을 하면 해커 등의 보안상 문제가 없을까?”란 생각이
들 수도 있다. 그래서 일반 기업에서는 <그림 1>과 같이 전용회선으로 본사와 지점간의 연결을
점대점(Point-to-Point)으로 직접 연결하고 있다. 그러나 VPN 장비를 사용하게 되면 <그림 2>
과 같이 VPN 장비 간에 데이터를 주고받을 때 IPSec 프로토콜을 이용해 암호화, 인증과 무결성을
지원해 데이터를 전달하는 방식으로 일반 공중망(인터넷)에서도 회사기밀 정보를 안전하게
전달할 수 있게 된다.
인증(Authentication)은 공개된 인터넷망에서 상대방이 누군지 확인을 하는 절차를 말하며,
기밀성(Confidentiality)은 통신내용이 외부에서 알 수 없도록 암호화하는 것이다. 즉 데이터의
내용을 가로채기를 하여도 암호화되어 있어서 해독할 수 없도록 하는 것이다.
무결성(Integrity)은 일반적으로 결함이나 결점이 없다는 말로 사용되며 송신된 내용이
변경되지 않았음을 보장한다. 즉 보낸 내용을 변조하지 못하게 하기 위해 MD5, SHA-1 등의
해시 함수를 이용한다.
이 세 가지로 보안 서비스로 인해 VPN 장비에서도 안전한 데이터 전송을 할 수 있게 되는 것이다.
또한 VPN의 핵심기술은 터널링(tunneling)으로 각 지점 간의 네트워크를 구축할 때 ADSL이나
케이블 등과 같은 공중망으로 가상적 터널을 형성해 전용선(사설망)과 같은 높은 안정성과
보안성을 구현하는 기술이다.
 |
| <그림 1> VPN 적용 전 네트워크 연결 구성 |
 |
| <그림 2> VPN 적용 후 IPSec 연결 구성 |
VPN 구성과 활용 사례
VPN 소프트웨어와 하드웨어는 어떻게 다를까? VPN 소프트웨어는 재택근무, 협력업체, 출장자 등의
이동사용자가 한두 대의 컴퓨터로 사내시스템을 접속하는 경우에 많이 사용하고 있다. 구성방법은
대기업인 경우 VPN 장비를 회사본사에 설치하고 사용자마다 VPN 소프트웨어를 설치하는 방법이
있으며, SOHO 및 사용자가 적은 경우는 별도의 투자비 없이 <그림 3>과 같이 VPN 서비스 업체의
VPN 장비를 이용해 VPN 접속사용자 ID별 월정액을 지불하는 방식이 유리하다(서비스 업체에 대한
연락은 <표 2>에 정리를 했다.)
 |
| <그림 3> VPN 서비스 연결 구성도 |
 |
| <표 2> VPN 서비스 제공업체 연락처 |
그럼 VPN 소프트웨어 방식으로 사용시의 접속절차를 알아보자. 사용자 회사와 VPN 서비스 제공업체
간에 전용회선으로 연결을 한 후 VPN 사용자가 회사 내의 접속할 서버에 대한 정보를 전달한다.
출장이나 자택에서 사용시는 VPN 사용계정을 신청한 후에 노트북에 VPN 소프트웨어를 설치하고
인증서를 다운받는다.
출장지에 가서는 노트북에 LAN 케이블을 연결한 후 인터넷에 접속한다. VPN 소프트웨어를
실행한 후에 <화면 1>과 같이 접속 아이디와 비밀번호와 인증서를 확인한 후에 본사 VPN과
접속을 한다. 접속된 후에는 VPN 업체에 등록된 회사 서버에 접속을 하여 급여정보, 구매정보,
메일 등을 볼 수가 있다. 출장시에 VPN 소프트웨어를 사용하는 절차는 <그림 4>를 참조하면 된다.
 |
| <화면 1>PROMISC가 설정된 예 |
 |
| <그림 4> VPN 소프트웨어로 접속하는 순서 |
VPN LAN to LAN 방식
다음은 LAN to LAN 방식을 알아보겠다. LAN to LAN은 서울 본사와 지방사업장 간에 VPN 장비를
설치하는 경우이다. 지방사업장에 수십 명이 인터넷도 사용을 해야 하고 서울 본사 서버와 접속이
필요하다면 VPN 장비를 설치하는 것이 여러 가지로 편리하다. VPN 소프트웨어 프로그램을 실행할
필요가 없어서 편리하다.
또한 해외인 경우는 VoIP를 설치해 서울본사와 인터넷전화를 사용할 수 있다. <그림 5>는 VPN
소프트웨어와 하드웨어를 설치해 활용하는 사례의 구성도이다. 모든 데이터 전송이 암호화해
전달되는 것을 알 수 있다.
 |
| <그림 5> 회사에서 VPN 하드웨어 및 소프트웨어 구축 사례 |
해외 지점인 경우는 한국 본사와 업무상 전화사용량이 많으므로 해외 통화비를 절감하기 위해
VPN 장비와 VoIP 통합장비를 설치하기도 한다. VoIP 사용시는 VoIP 장비가 설치된 한국 본사와
해외 지점 간에만 무료로 사용하는 제한은 있지만 <표 3>을 보면 국내지점 15개소 설치시에 전용회선으로 사용시는 1년 회선비와 장비가를 합치면 4.17억이 소요되나 VPN 장비와 ADSL 회선을 이용해 구축시에는 0.5억 정도로 8배의 차이가 나는 것을 알 수 있다.
또한 해외지점 11개소의 경우 전용 256Kbps 국제전용회선과 라우터로 구성시에 년간 20억이
소요되나 인터넷 전용 회선과 VPN 장비 투자시는 3.2억이 소요되므로 6배 이상 차이가 있음을
알 수 있다. 또한 VoIP로 한국 본사와의 국제통화를 사용하게 되면 년간 5억원 정도의 절감효과가
있으므로 실제로는 1.8억원의 수익이 발생하게 된다. 그래서 대형 유통회사, 무역회사,
대기업에서는 VPN으로 많이 설치하고 있다. <그림 6>은 VPN과 VoIP에 대한 구성을 나타내고 있다.
 |
| <표 3> 국내외에 VPN, VoIP 구성시의 투자비 |
* ADSL 회선료는 지점당 ADSL 24개 사용 비용이 포함됨
* VPN 장비가는 각 지점 및 서울본사의 VPN 하드웨어 장비가를 포함함
 |
| <그림 6> VPN과 VoIP 구성도 |
VPN 장비도 설치시에는 주의할 점이 있는데 해외에 VPN을 설치할 때 사우디, 베트남 등은 종교나
사회국가의 특성상 인터넷을 통제하는 경우가 있다. 이런 경우 VPN 접속이 안 되는 경우가 발생하므로
사전에 현지 통신업체에 VPN 사용유무를 확인하거나, 현지 지점에 VPN 소프트웨어를 설치한 후에
통신이 잘되는지 확인이 필요하다. VPN은 ESP나 AH 프로토콜을 이용하여 터널링, 인증을 수행하는데
포트가 막혀있으므로 포트 신청서를 작성한 후에 승인을 받아야 한다.
일부 VPN 장비는 회선절감을 위해 터널링 분할(split tunneling) 기능이 있으나 보안을 요하는
곳은 적용하지 말아야한다. 터널링 분할을 이용하면 본사 사내망에 접속시에는 IPSec 터널링을
이용하여 접속하며, 인터넷 사용시는 ISP망을 이용하므로 회사자료에 대한 유출이 발생한다.
즉 VPN으로 내부 서버에 접속하여 자료를 내컴퓨터에 저장한 후에 외부메일로 자료를 전달할
수 있다. 이를 막기 위해서는 인터넷을 사용할 때도 터널링으로 본사를 경우하게 함으로써
인터넷통제 및 로그정보를 남기도록 하여야 한다.
VPN 장비는 통신회선의 백업회선으로도 사용되어 진다. 금융회사인 경우는 각 지점간의
금융서비스가 장애 없이 진행이 되어야 한다. 그러기 위해서는 서버, 네트워크 장비, 통신 회선 등을
모두 이중화로 구현한다. <그림 7>과 같이 본사와 지점 간의 주 라인은 전용회선으로 구성하고,
백업 회선으로는 VPN 장비와 ADSL 회선을 이용해 구성하면 전용회선보다 저렴하여 통신비도
절감되기 때문에 많이 활용하고 있다.
 |
| <그림 7> VPN을 이용한 백업회선 구성 사례 |
| ||||||||||||||||||||||||||
| ||||||||||||||||||||||||||
|
아직도 IP 공유기를 모른다고요?
얼마 전 한 벤처회사를 방문해보니 <그림 8>과 같이 두 개의 ADSL 회선을 가지고 30대의 컴퓨터가
인터넷을 사용하고 있었다. 인터넷 속도가 늦어서 구성을 확인해보니 ADSL 1회선에는 고정IP
몇 개를 할당받아 회사 홈페이지와 메일 서버에 등록한 후 외부에서 접속이 가능하도록 구성되어
있었다. 또 다른 ADSL 회선은 <그림 9>와 같이 컴퓨터에 NIC카드를 설치한 후 허브 장비를 이용해
여러 컴퓨터가 인터넷을 사용하고 있었다.
그런데 문제가 생겼다. 바로 ADSL 회선 속도가 늦어지거나 회선 장애가 발생하면서 인터넷 서비스가
종종 안 되거나 혹은 컴퓨터(서버) 전원을 끄게 되면 나머지 컴퓨터가 인터넷에 연결이 안 되는
불편함이었다.
 |
| <그림 8> ADSL 회선으로 네트워크 구성사례 |
 |
| <그림 9> NIC 카드와 허브를 이용해 공유하는 방법 |
이런 구성을 어떻게 바꾸면 좋을까? IP공유기나 VPN 장비를 사용하면 쉽게 해결할 수 있다. IP공유기를
이용하여 구성해보도록 하자. IP공유기는 ‘인터넷공유기’라고도 불리며 PAT(Port Address Translation) 기능을 이용하여 ADSL 회선에 부연된 단 1개의 IP 주소를 가지고 이론상으로 253대의
컴퓨터가 모두 인터넷을 사용할 수 있게 하는 네트워크 장비이다.
요즘 1가구 2 PC가 늘어나면서 ADSL 회선을 추가로 신청하지 않고 IP공유기 장비를 사용함에 따라
KT에서는 약관 위반으로 ADSL 회선 중단 조치를 발표했고, 사용자 및 장비 업체의 반발이 예상되어
결과는 두고 봐야 하겠지만 현실적으로 중소기업, 관공서, 개인들이 가장 많이 사용하고 있는
방식으로 법적인 문제가 없는 상태에서 규제하기가 쉽지가 않다.
예전에는 ADSL 회선으로 여러 대의 컴퓨터를 연결할 때 IP공유기를 사용하는 방법과 컴퓨터에
NIC 카드를 두 개 설치하는 방식이 사용되었다. 이 두 개의 경우에 대한 비교는 <표 4>을
참고하면 되며, 최근에는 <그림10>과 같이 ADSL 회선을 이용해 IP공유기나 VPN 장비를 많이 사
용하는 추세이다.
 |
| <표 4> IP공유기와 NIC카드 비교 |
 |
| <그림 10> IP공유기 및 VPN 장비로 네트워크 구성사례 |
IP공유기의 기능
그럼 IP공유기의 기능을 알아보자. <그림 11>과 같이 IP공유기의 그림을 보면 LAN 포트 4개는 스위치허브 4포트라고 생각하면 된다. 내부의 컴퓨터와 연결하기 위해 제공되는 스위치허브 4포트이다. 만약 사무실 컴퓨터가 20대가 있다면 IP공유기의 LAN 포트에 스위치허브 24채널을 연결해 컴퓨터에 연결하면 된다. WAN 포트 두 개는 ADSL이나 케이블모뎀 회선을 두 개까지 연결할 수 있다.
 |
| <그림 11> IP공유기 외관 및 기능 |
IP공유기 제품을 구입할 때 확인할 사항과 가장 중요한 기능에 대해서 알아보도록 하자. 첫 번째는
DMZ(DeMilitarized Zone) 서버 기능이 있다. DMZ은 ‘비무장지대’란 뜻이다. 즉 회사에서
외부로 노출되어야 할 웹 서버, 홈페이지 서버, FTP 서버 등을 비무장지대에 설치한 후에 접속하게
하는 방법이다.
만약 웹 서버가 회사 내의 사설망에 위치하게 된다면 외부에서 회사 내부에 있는 웹 서버에 접근을
하면서 다른 서버나 컴퓨터에 접속해 정보에 대한 해킹을 쉽게 할 수 있으므로 별도의 비무장지대에
웹 서버를 설치해 회사 내부망에 접속을 못하게 하는 것이다. IP공유기에서는 외부에 오픈할 서버의
IP 주소를 <화면 2>와 같이 설정해 사용을 한다.
 |
| <화면 2> IP공유기 DMZ 셋팅 화면 |
두 번째로 DDNS(Dynamic DNS) 기능이 있다. DDNS 서비스란 ADSL을 사용해 인터넷 접속시에
고정IP 주소가 아닌 유동IP 주소를 할당한다. 그러다 보니 컴퓨터의 IP주소가 며칠에 한 번씩
바뀌어서 서버 용도 등의 사용이 어렵다. 그래서 유동IP로도 서버를 운용할 수 있도록 유동IP와
도메인을 매칭시켜서 IP공유기 내부에 있는 서버도 웹 서버나 FTP 서버를 운영할 수 있게 해주는
서비스이다. IP공유기를 구입한 회사의 홈페이지에 가면 <화면 3>과 같이 DDNS 서비스를 제공하고 있다.
 |
| <화면 3> DDNS 서비스 신청 |
세 번째 파이어월(보안) 기능이 있다. 유해사이트(음란채팅)를 차단하고자 한다면 윈도우에서 『
시작 | 실행 | cmd | ‘nslookup’』 명령으로 유해사이트의 IP주소를 확인한다. 유해사이트의
IP주소를 보안설정의 목적지에 입력하게 되면 등록한 유해사이트에 접속이 차단된다. <화면 4>를
보면 목적지 주소에 차단할 IP주소와 포트번호를 등록하면 된다.
 |
| <화면 4> 보안 서버 기능 |
네 번째, ADSL 회선이 두 개를 IP공유기에 연결해 회선 백업 기능과 자동 트래픽 분산 기능을 이
용할 수 있다. 회선 백업 기능은 회선 두 개가 동시에 장애가 나지 않는다면 인터넷을 장애 없이
사용이 가능하며, 자동 트래픽 분산 기능은 ADSL 회선의 속도를 등록해 속도가 빠른 ADSL 회선에
가중치를 더 두어 데이터를 전송하는 방식이다. 예를 들면 WAN1의 속도가 6Mbps이고 WAN2의
속도가 3Mbps라면 WAN1의 가중치를 2, WAN2의 가중치를 1로 설정해 가중치가 높은 쪽에
더 많은 데이터를 전송하게 한다.
그럼 IP공유기와 VPN 장비 간의 차이점은 무엇일까? IP공유기는 인터넷 공유를 위한 장비이고,
VPN 장비는 네트워크와 보안 기능이 통합되어 있는 장비이다. IP공유기는 인터넷 공유 외에 방화벽
기능은 몇 개의 사이트 차단 정도로 기능이 제한적이고, QoS도 사용자 컴퓨터 IP주소에 대한
속도 제한에 한정적으로 장비가격이 저렴해 일반가정이나 10명 미만의 SOHO용으로 많이 사용하고 있다.
반면에 VPN은 가상사설망 기능 외에 보안 기능은 <화면 5>와 같이 비정상 패킷 차단, 웜바이러스 차단,
해킹 차단의 기능부터 QoS도 네트워크 대역별 트래픽 제어, 서비스 포트별 트래픽 제어, 사용자별
트래픽 제어 등 다양하다. <화면 6>과 같이 사용 트래픽에 대한 모니터링 등 여러 가지 기능이 있다.
또한 해외나 지방에서 인터넷이 되는 곳이라면 본사 서버에 접속할 수가 있는 다기능 장비 이다.
<표 5>를 보면 IP공유기와 VPN 장비 간의 기술적인 차이점을 비교했다.
 |
| <화면 5> VPN 방화벽 설정 화면 |
|
| <화면 6> VPN 사용 트래픽 모니터 화면 |
 |
| <표 5> IP공유기와 VPN 장비 비교표 |
| ||||||
| ||||||
|
| ||||||||||||||||||
| ||||||||||||||||||
|
효율적인 네트워크 관리를 바라며
지금까지 서버 관리자나 시스템 관리자나 VPN과 IP공유기 장비를 이용해 네트워크를 효율적으로
구성하는 것을 알아봤다. 회사 내에 ADSL로 인터넷이 구성되어 있다면 여러 개의 ADSL 회선을 이
용하여 속도도 향상시키고 회선이중화를 할 수 있으며 외부에서 서버에도 접속할 수 있다.
또한 유통이나 협력사가 많은 경우에는 VPN 장비를 이용하여 저렴하게 구성할 수 있는 방안도
배웠다. 기타 네트워크에 대한 질문을 하고 싶다면 NRC동호회 (www.freechal.com/router)에
문의하기를 바란다.
다음 글에는 회사에 맞는 네트워크 구성하기란 주제로 네트워크 장비와 보안 장비의 역할, 서버
이중화 방안, 네트워크의 효율적 관리에 대해서 알아보겠다
출처: 마이크로소프트웨어, 작성자: 임보혁 (삼성SDS IS팀)
'[IT Trend] > Security' 카테고리의 다른 글
| [웹 파이어월 강좌] 웹 애플리케이션 공격의 이해 (0) | 2006.05.23 |
|---|---|
| [웹 파이어월 강좌 1] 웹 애플리케이션 보안의 문제점 (0) | 2006.05.23 |
| Heap Overflow - free/malloc (3) | 2006.03.10 |
| tdimon (0) | 2005.09.07 |
| [펌] [cisa] 요점정리-2 (0) | 2005.04.26 |